Nightmare-Eclipse, 공개 PoC에서 실세계 공격으로 이동

SOC Prime Team

팔로우

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

Huntress는 공격자들이 BlueHammer, RedSun, UnDefend로 알려진 공개 권한 상승 도구를 사용하여 실시간 침입을 문서화했습니다. 이 작업은 환경에 대한 접근 권한을 제공하고 사용자 쓰기 가능한 폴더에 악성 바이너리를 저장할 수 있게 하는 FortiGate SSL VPN 자격 증명이 손상됨으로써 시작되었습니다. 내부에 들어온 후, 그들은 정찰 명령을 실행하고 BeigeBurrow라고 불리는 맞춤형 Go 기반 터널링 유틸리티를 배포했습니다. 이 사례는 공개된 개념 증명(Proof-of-Concept) 익스플로잇 도구가 어떻게 빨리 공개 출시에서 활성화된 침입 활동으로 이동할 수 있는지를 강조합니다.

조사

조사는 IP 주소가 러시아, 싱가포르 및 스위스에서 시작된 손상된 FortiGate SSL VPN 세션으로 악성 활동의 경로를 추적했습니다. 분석가들은 다음과 같은 바이너리를 발견했습니다 FunnyApp.exe, RedSun.exe, undef.exe, 그리고 Go 기반의 터널링 에이전트인 agent.exe 사용자 사진 and 다운로드 디렉터리에 저장되었습니다. 공격자들은 또한 손수 키보드 명령을 통해 whoami /priv, cmdkey /list, 그리고 net group 등을 실행하여 권한 및 자격 증명을 나열했습니다. 터널링 에이전트는 원격 접근을 유지하기 위해 yamux 기반의 역 터널을 staybud.dpdns.org 에 포트 443을 통해 설정했습니다.

완화

방어자들은 비정상적인 사용자 쓰기 가능한 경로에서의 실행을 모니터링하고, 알려진 바이너리 이름을 감지하며, Microsoft Defender 경고(예: Exploit:Win32/DfndrPEBluHmr.BZ , EICAR 관련 탐지)를 조사해야 합니다. VPN 로그는 광범위하게 분리된 지역에서의 의심스러운 로그인 여부를 검토하고, 신뢰할 수 없는 소스 IP는 차단해야 합니다. 보안 팀은 또한 BlueHammer, RedSun, UnDefend 활동에 대한 엔드포인트 탐지를 배포하고 CVE-2026-33825.

반응

이 활동이 감지되면, 영향을 받은 엔드포인트를 즉시 격리하고, 터널링 에이전트를 종료하며 호스트에서 모든 배치된 바이너리를 제거하십시오. 손상된 VPN 자격 증명을 재설정하고 원격 접근을 위한 다중 인증을 강제하십시오. 사고 대응자는 또한 자격 증명 덤핑에 대한 완전한 검토를 수행하고 Microsoft의 패치를 적용하며 CVE-2026-33825, 권한 상승 도구의 남아있는 흔적을 찾기 위해 환경을 철저히 검색해야 합니다.

"graph TB %% Class definitions classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Nodes u2013 Actions action_initial_access["Action – T1078 Valid Accounts Compromised FortiGate SSL VPN credentials provide legitimate network access."] class action_initial_access action action_execution["Action – Execution from useru2011writable paths Binaries placed in Pictures and Downloads are executed."] class action_execution action action_priv_esc_exploit["Action – T1068 Exploitation for Privilege Escalation BlueHammer exploits a TOCTOU vulnerability in Windows Defender to obtain a handle to the SAM database and elevate to SYSTEM."] class action_priv_esc_exploit action action_priv_esc_abuse["Action – T1548 Abuse Elevation Control Mechanism RedSun leverages a race condition in Defenderu2019s cloudu2011file remediation flow to write a malicious executable into C:WindowsSystem32 and gain SYSTEM privileges."] class action_priv_esc_abuse action action_credential_dump["Action – T1003 OS Credential Dumping BlueHammer reads the SAM hive from a Volume Shadow Copy to extract NTLM password hashes."] class action_credential_dump action action_pass_the_hash["Action – T1550.002 Pass the Hash Extracted hashes are intended for lateral movement using Passu2011theu2011Hash (not observed to succeed)."] class action_pass_the_hash action action_defense_evasion["Action – T1211 Exploitation for Defense Evasion UnDefend locks Defender definition files and blocks service restarts, temporarily disabling the antivirus."] class action_defense_evasion action action_c2["Action – T1071.001 Web Protocols BeigeBurrow agent creates a persistent reverse HTTPS tunnel using the yamux multiplexing library."] class action_c2 action %% Nodes u2013 Malware / Tools malware_funnyapp["Malware – Name: FunnyApp.exe Location: UserPictures"] class malware_funnyapp malware malware_redsun["Malware – Name: RedSun.exe Location: UserDownloads"] class malware_redsun malware malware_undef["Malware – Name: undef.exe Location: UserDownloads"] class malware_undef malware malware_z["Malware – Name: z.exe Location: UserDownloads"] class malware_z malware malware_beigeburrow["Malware – Name: BeigeBurrow agent (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["Tool – Name: BlueHammer Description: Exploits Defender TOCTOU to capture SAM handle and dump credentials."] class tool_bluehammer builtin tool_redsun["Tool – Name: RedSun Description: Writes malicious executable to C:WindowsSystem32 via Defender race condition."] class tool_redsun builtin tool_undefend["Tool – Name: UnDefend Description: Locks AV definition files and prevents Defender service restarts."] class tool_undefend builtin %% Connections u2013 Attack Flow action_initial_access –>|leads_to| action_execution action_execution –>|executes| malware_funnyapp action_execution –>|executes| malware_redsun action_execution –>|executes| malware_undef action_execution –>|executes| malware_z malware_redsun –>|uses| tool_redsun malware_funnyapp –>|drops| tool_bluehammer action_priv_esc_exploit –>|uses| tool_bluehammer action_priv_esc_exploit –>|leads_to| action_priv_esc_abuse action_priv_esc_abuse –>|uses| tool_redsun action_priv_esc_abuse –>|enables| action_credential_dump action_credential_dump –>|produces| action_pass_the_hash action_defense_evasion –>|uses| tool_undefend action_c2 –>|established_by| malware_beigeburrow "

공격 흐름

공격 내러티브 및 명령:
Windows 호스트에 발판을 얻은 적수는 손상된 계정의 권한 수준을 확인하고, 저장된 자격 증명과 도메인 그룹을 나열하여 측면 이동을 하고자 합니다. 레이더를 회피하기 위해, 공격자는 네이티브 Windows 바이너리(whoami, cmdkey, net)를 파워셸 프롬프트에서 직접 실행하여 추가 경고를 생성할 수 있는 제3자 도구를 피합니다. 각 명령은 프로세스를 생성하며, Sigma 규칙이 감시하는 정확한 명령줄을 포함한 Event ID 4688 레코드를 생성합니다.

회귀 테스트 스크립트:

 # -----------------------------------------------------------------
  # Sigma 규칙을 트리거하기 위한 핸즈온-키보드 정찰 시뮬레이션
  # -----------------------------------------------------------------
  # 1. 현재 토큰 권한 표시
  whoami /priv

  # 2. 저장된 Windows 자격 증명 나열
  cmdkey /list

  # 3. 도메인 그룹 나열(도메인 컨텍스트 필요)
  net group

  # SIEM 수집을 위한 대기
  Start-Sleep -Seconds 10

정리 명령:

 # 임시 아티팩트 제거 (생성되지 않음)
  # 은폐를 위한 파워셸 명령 기록 지우기 (선택사항)
  Clear-History

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입